A, C, G, T. Adénine, Cytosine, Guanine, Thymine
Les quatre bases composant l’ADN. Les quatre bases constituant le prochain défi auquel sera confrontée la protection des données.
Pourquoi ? Parce que l’ADN d’un individu étant en principe unique, c’est la donnée personnelle la plus absolue. Parce que l’ADN recèle des données à caractère personnel de plusieurs ordres.
L’ADN contient des données sensibles. Il fait apparaître, directement ou indirectement, les origines raciales ou ethniques de la personne. Il comporte des informations relatives à sa santé.
L’ADN est également une donnée standard. Biométrique, il permet l’identification de la personne.
Stocké dans une base de données judiciaire, il peut être considéré comme une donnée protégée. En effet, figurer dans le Fichier National Automatisé des Empreintes Génétiques (FNAEG) permet – par inférence – de déduire la commission d’une infraction d’un certain type.
Vous imaginiez qu’une suite de caractères composée de ces quatre seules lettres – A, C, G et T – puisse révéler autant d’information à votre propos ? Et encore, je n’ai probablement pas listé toutes les informations que l’on pouvait en tirer.
Malgré cela, l’ADN, les données génétiques ne font l’objet d’aucune disposition spécifique. La loi Informatique et Libertés se borne à préciser que le traitement de données génétiques doit faire l’objet d’une autorisation préalable de la Commission Nationale de l’Informatique et des Libertés (CNIL)… excepté lorsqu’il est traité par des médecins ou des biologistes aux fins de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de traitements.
L’accès à la donnée génétique est donc très strictement encadré. Pour certaines personnes – les compagnies d’assurance par exemple – il est même interdit. Ou plus précisément, le législateur leur a interdit de tenir compte des résultats d’un examen génétique. Nuance. Légère, et néanmoins digne d’intérêt puisque rien n’interdit alors d’envisager l’utilisation d’ADN à d’autres fins que la fixation des primes d’assurance d’un assuré.
Comment une personne qui ne serait ni médecin, ni biologiste pourrait-elle accéder à de la donnée génétique ?
Effectivement, c’est délicat. D’autant que lorsque de l’ADN est collecté, c’est à une fin spécifique. Toute autre utilisation constituerait le délit de détournement de finalité, passible de 5 ans d’emprisonnement et 300 000 euros d’amende.
Cela semble encore plus délicat si l’on se réfère au projet de Règlement Général relatif à la Protection des Données (RGPD) qui érige la donnée génétique en donnée relative à la santé, et impose ainsi que le traitement soit justifié par une finalité sanitaire.
Sauf peut-être…
Sauf peut-être si la donnée génétique en question ne présentait pas un caractère personnel !
Je vous entends déjà penser : « mais il vient d’expliquer le contraire ! »
Et vous avez raison. Mais rappelez-vous, j’ai aussi écrit qu’une fois séquencé, le génome prend la forme d’une suite de caractères utilisant un alphabet de quatre lettres : A, C, G et T.
Vous voyez où je veux en venir ?
A partir de combien de caractère le génome séquencé devient-il une donnée à caractère personnel ? Sur combien de gènes faut-il avoir recueilli des informations ?
La personne ne peut pas être, directement ou indirectement, identifiée et n’est pas identifiable à partir des séquences de gènes examinées ? Alors ce n’est pas de la donnée génétique, au sens de la loi Informatique et Libertés.
Partant, pas de consentement à obtenir, pas de finalité à respecter.
Le débat autour de la donnée génétique promet d’être passionnant… et passionné!